[fli4l] Portforwar?==?utf-8?Q?ding -Firewall

Martin Dresbach martin.dresbach at arcor.de
Do Feb 5 09:41:19 CET 2015


Hallo Martin.

Zitat:
> ...die habe ich natürlich, aber mir ist gerade aufgefallen, dass
> es
> evtl. tatsächlich auch an der Rückroute liegen könnte :-/

Das würde natürlich Sinn machen, die braucht man schon. :)

Was mir aber gerade noch eingefallen ist:
Die eigentliche Umleitung von https auf den Client im .3.x Netz regelt
man zwar schon über die PREROUTING-Chain (wie von mir bereits
beschrieben). Allerdings solltest du dabei auch daran denken, Die
generelle (oder eingeschränkte) Weiterleitung von Paketen ins .3.x Netz
auf dem Fli in der FORWARD-Chain zuzulassen.

Du bräuchtest also zum einen die "Umleitung" mittels:
PF_PREROUTING_x='tmpl:https any dynamic DNAT:192.168.3.201'

Zusätzlich aber auch die "Erlaubnis" zur Kommunikation in das Zielnetz
an sich. Z.B. mittels:
PF_FORWARD_x='any 192.168.3.0/32 ACCEPT BIDIRECTIONAL' #Kommunikation
zwischen allen Subnetzten am Fli und dem .3.x Netz

Natürlich kannst du diese Regel auch nach deinen eigenen Bedürfnissen
restriktiver gestalten. Diese hier würde halt alles erlauben. :)

An sich sollte es dann auch funktionieren, natürlich vorausgesetzt,
dass deine Routen in jede Richtung passen...

Liebe Grüße,
Martin


Mehr Informationen über die Mailingliste Fli4L